פגיעות באורקל מאפשרת סחיטת הלקוחות בכופרה

נחשף מסע סחיטת נתונים רחב, המכוון ללקוחות אורקל. מתקפת הכופרה כנגד לקוחות ענקית ה-IT – שיש להם ERP מסוג  E-Business Suite – מתאפשרת בשל פגיעות יום אפס.

תחילה טענה אורקל כי המתקפות נבעו מפגיעויות ידועות, שלא תוקנו. לאחר מכן החברה שינתה את הודעתה ושחררה תיקונים, על מנת לטפל בפגם, שהוא בדרגת חומרה הקריטית.

בהודעה שהוציאה ענקית הטק בחג, היא אמרה שהיא "ממליצה בחום ללקוחות להטליא את העדכונים בהקדם האפשרי".

לפי חוקרי מנדיאנט (Mandiant) מבית גוגל קלאוד (Google Cloud), קבוצת פושעי הסייבר הרוסית Clop סחטה וגם עלולה לסחוט – לקוחות של אורקל לאחר גניבת נתונים רגישים פוטנציאליים. חוקרי מנדיאנט הם שחשפו את המתקפות – ולא אורקל. החוקרים ציינו, כי מדובר במתקפה "רחבת היקף". הודעתה החדשה של אורקל מתקנת את זו הקודמת של החברה, שלפיה המתקפות הן תוצאה של פגיעויות שנחשפו בעבר, שהתאפשרו כי לקוחות לא עדכנו את מערכותיהם עם תיקונים ששוחררו ביולי.

בערב החג (ב') הוציאה CISA, הסוכנות לאבטחת סייבר ותשתיות, התראה דחופה על פגיעות יום אפס קריטית במערכת של אורקל, שלפיה "הפגיעות הופכת לנשק פעיל על ידי מפעילי כופרות ברחבי העולם".

בהודעתה העדכנית, אורקל קישרה את קמפיין סחיטת הנתונים לפגיעות CVE-2025-61882. זו עלולה להיות מנוצלת על ידי האקר מרוחק, ובלא אימות. הפגיעות קיבלה דירוג "קריטי", עם ציון חומרה של 9.8 מתוך 10.0. הפגיעות האמורה משפיעה על מערכות Oracle E-Business Suite, גרסאות 12.2.3-12.2.14, לדברי החברה. "התיקונים החדשים מספקים עדכונים נגד ניצול פוטנציאלי נוסף שהתגלה במהלך החקירה שלנו", אמר רוב דוהארט, מנהל האבטחה הראשי של אורקל. דוהארט, כמו גם אורקל, לא ציינו בדבריהם את קבוצת קלופ.

הודעות הסחיטה נשלחו למנהלים של כמה ארגונים. לפי מנדיאנט, בהודעות נמסר למנהלים שההאקרים גנבו נתונים רגישים ממערכת E-Business Suite שלהם.

כנופיית קלופ נטלה בעבר אחריות על סדרה של מתקפות גניבת נתונים גדולות, כולל התקפות נרחבות המכוונות ללקוחות MOVEit ב-2023. באפריל השנה דיווחנו כי מידע שנקצר על לקוחות חברת השכרת הרכב הפופולרית, הרץ – שוטט בדארקנט במשך חודשים. בפריצה נגנבו נתונים של 100 אלף לקוחות. החברה חוותה מתקפת סייבר ברבעון הרביעי של 2024 לאחר שהשחקנים הרעים פרצו בהצלחה את מערכות ה-IT של שותף צד שלישי של הרץ. המידע הגנוב, שהושג על ידי ההאקרים בין אוקטובר לדצמבר 2024, ככל הנראה הועבר ברשת האפלה במשך חודשים. הרץ הייתה אחת ממאות חברות ששמן הוזכר על ידי כנופיית הכופרה קלופ באוקטובר 2024. ההאקרים הצליחו לתקוף את HPE ואת תומסון רויטרס, דרך החברה הבת שלה ליגאל טראקר.

לפי CISA, "נדרש להטמיע תיקון מיידי כדי למנוע השתלטות מלאה (של האקרים) על המערכת לטובת ביצוע מתקפות סחיטה".

לפי חוקרי אבטחה, "החולשה החמורה משפיעה על רכיב BI Publisher Integration במערכת, ומאפשרת לתוקפים, לא מאומתים, לסכן תהליכים במערכת, ולעשות זאת בלא אישורים חוקיים… ניצול החולשה עלול להעניק לתוקפים שליטה מלאה על תהליכי עיבוד, וכך לאפשר ליריבים את היכולת לגשת, לשנות או לסנן נתונים עסקיים רגישים ולשבש פעולות ארגוניות קריטיות". עוד ציינו חוקרים כי "מה שהופך את הפגיעות הזו למסוכנת במיוחד, הוא הנגישות שלה באמצעות חיבורי רשת HTTP סטנדרטיים. זה מסיר מחסומים עבור תוקפים מרוחקים, ומאפשר להם  להשיק קמפיינים בהיקף נרחב".

כמה חברות מודיעין איומים בסייבר ציינו כי צוותים רבים של האקרים התוקפים בכופרות, כבר שילבו את החולשה בערכות כלי הפריצה שלהם. "ארגונים מכלל המגזרים, כולל פיננסים, ייצור ובריאות, הפכו ליעדים עיקריים למתקפות, בשל התפקיד האינטגרלי של מערכת Oracle E-Business Suite בניהול זרימות עבודה קריטיות למשימות". עוד הוסיפו החוקרים, כי "הניצול הפעיל של פגיעות יום אפס זו מסמן הסלמה משמעותית באיומי הכופרות, המכוונות למערכות תכנון משאבים ארגוניים. על ארגונים לתת לתיקון החולשה עדיפות עליונה, כדי להגן על פונקציות עסקיות קריטיות ונתונים רגישים מפני סחיטה הרסנית של כופרות. ערנות מתמשכת, ניהול תיקונים בזמן והגנות רשת קפדניות הן אבני היסוד של אבטחת סייבר ארגונית יעילה".